这既是一种标准的网络钓鱼/勒索软件攻击,但一旦进入目标网络,它也会像蠕虫一样传播。这次袭击?
#1 楼
WannaCry攻击是使用Microsoft Windows OS中的SMBv1远程执行代码漏洞发起的。 EternalBlue漏洞已由Microsoft于3月14日进行修补,并于2017年4月14日通过“影子经纪人转储”公开提供。但是,许多公司和公共组织尚未在其系统上安装该修补程序。攻击后的上周发布了Windows旧版本的Microsoft修补程序。如何防止WannaCry感染?
确保所有主机均已启用端点反恶意软件解决方案。
安装官方Windows修补程序(MS17-010)https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx,该补丁可关闭使用的SMB服务器漏洞在这种勒索软件攻击中。
扫描所有系统。在将恶意软件攻击检测为MEM:Trojan.Win64.EquationDrug.gen之后,重新启动系统。确保已安装MS17-010补丁。
将所有重要数据备份到外部硬盘驱动器或云存储服务。
更多信息,请访问:https://malwareless.com/wannacry-ransomware -大规模攻击计算机系统-世界/
评论
稍等-您说的是2017年4月14日通过Shadowbrokers转储公开提供,并于3月14日由Microsoft进行了修补。那么,它是在公开发布的一个月后进行修补的,还是您无意中对日期进行了更改?
–德拉戈莫克
17年5月13日在17:35
@Dragomok请注意,此漏洞是在补丁发布后一个月出现的。那不是很不寻常。考虑到有多少台计算机没有保持最新状态,查找漏洞的一种简单方法是等待补丁发布。
– Todd Wilcox
17年5月14日在6:39
由于这是目前投票率最高的答案,而且可能有非网络管理员访问此网站,因此包括“不要打开奇怪的附件”(可能简短说明如何检查附件是否包含)将很有帮助。可执行文件伪装成别的东西),因为对于没有自己的局域网的人来说,这些东西可能是一些攻击媒介,对于较大的网络,这也可能是“零病人”。
–vsz
17年5月16日在17:29
@Dragomok:大概是TSB提前将问题通知了Microsoft。时机似乎支持它。 AFAIK这是白色/灰色帽子黑客的典型特征。
–tomasz
17年5月16日在21:14
@tomasz NSA提前(在EternalBlue被泄露之后)将此问题通知了Microsoft。
–詹姆士林
17年5月18日在1:58
#2 楼
勒索软件正在SMBv1(服务器消息块版本1)中公开使用已知的漏洞。它是一种用于在网络环境中共享文件和打印机的应用程序级别协议。SMBv1协议通常在网络Windows环境中找到,并且包括Windows XP,Windows 7、8, 8.1和10。Windows Vista及更高版本允许使用SMBv1,即使它们支持改进的SMBv2和v3协议。
那些不使用Microsoft实施的环境不太可能受到以下影响漏洞利用和相关漏洞。此外,那些不支持SMBv1的环境也不会受到影响。
您可以按照Microsoft的说明禁用SMBv1支持:https://support.microsoft.com/kb/2696547
那些运行Windows 8.1或Windows Server 2012 R2及更高版本的用户可以通过删除Windows功能的“ SMB1.0 / CIFS文件共享支持”来禁用该支持。
有六个主要漏洞在Microsoft的SMBv1实施中。前五个(并且更关键)是允许远程任意代码执行的代码。最后一个允许“数据公开”。勒索软件利用了前五个漏洞并加以利用。
用户/企业可以采取的缓解该勒索软件的措施,其他措施包括:确保系统已打补丁。 ,该漏洞已于2017年3月修复。
请保留系统或关键用户/业务数据的最新备份。
使用和维护防病毒解决方案
使用备份方案,例如GFS(祖父,父亲,儿子)。
取消对SMBv1的使用或支持(请参见上文)。
隔离网络,以减少损害的影响。
使用各种系统和
Web链接:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
http://msdn.microsoft.com/zh-CN/library/aa365233(VS.85).aspx
http://www.eweek.com/security/wannacry-ransomware-attack-与Microsoft-smb-exploit一起击中受害者
评论
默认情况下,受影响的操作系统的个人消费者Windows版本是否启用SMB?
–拉斐尔
17年5月16日在16:17
显然,Windows会将更新推送到甚至不受支持的系统,例如XP,vista等。
–user91694
17年5月16日在17:59
@raphael是的,SMBv1默认情况下处于打开状态。请参阅Microsoft支持页面以获取有关禁用它的说明(当然,如果您不使用v1)。
– Kroltan
17年5月18日在14:12
@LunarWatcher是的,一旦他们看到它造成了多大破坏,便将其推到了不受支持的系统。
–贾斯汀时间-恢复莫妮卡
17年5月21日在19:05
#3 楼
思科在此发布了一篇文章,该文章比我见过的其他文章都更加详细。它们的基本预防步骤如下:确保所有基于Windows的系统均已完全修补。至少,请确保已应用Microsoft公告MS17-010。根据已知的最佳实践,任何具有SMB的组织都可以通过Internet(端口139、445)公开访问,应该立即阻止入站流量。 />
并且至少基于该Microsoft公告,看来这是一个SMBv1漏洞,而不是SMBv2。
评论
用户验证“ MS17-010是否已应用”的简便方法是什么。在我的系统上?
–curious_cat
17年5月22日在7:47
可能不是最优雅的解决方案,因为它是代码高尔夫球,但是它确实很容易并且有效(我偶然偶然发现了它):codegolf.stackexchange.com/a/120787
– AndyO
17年5月22日在14:07
谢谢安迪!棒极了。遗憾的是,该更新似乎未安装在我的系统上。哎呀!我以为Win Updates会自动安装它。
–curious_cat
17年5月22日在17:36
是否有任何代码高尔夫球可以轻松安装相应的更新?!
–curious_cat
17年5月22日在17:37
#4 楼
谁有危险?任何在此修补程序公告中列出的运行操作系统的人:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx如何?恶意软件可以通过多种方式传播,一旦一个端点受到感染,此恶意软件利用ms17-010的“蠕虫”方面。因此,它可能是单击链接,打开已通过电子邮件等发送的存档等。https://www.microsoft.com/zh-cn/security/portal/mmpc/help/infection.aspx
好像是?您在开玩笑吗?-)
观看它传播:https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all
:https://otx.alienvault.com/pulse/5915d8374da2585a08eaf2f6/
扫描易受攻击的端点(nmap):
https://github.com/cldrn/nmap-nse-scripts /blob/master/scripts/smb-vuln-ms17-010.nse
评论
好的答案,您可以为阅读此文章的普通用户添加任何内容,这些人可能想知道他们应该如何保护自己?
–罗里·麦库恩(Rory McCune)
17年5月12日在19:38
只需运行Windows Update。
–tbodt
17年5月12日在20:08
不幸的是,@ tbodt不适用于运行Windows XP之类的用户。在通常情况下,他们不会获得修补程序,但MS会为此blogs.technet.microsoft.com/msrc/2017/05/12/…发布一个补丁。但是,这是需要下载的特定更新。
–罗里·麦库恩(Rory McCune)
17年5月13日在9:56
我认为这是一个非答案,因为您的答案在另一个城堡中:什么时候答案不是答案?基本上,尝试阅读此内容,但忽略链接;您从中学到了什么? (非常少,IMO。)请考虑将链接页面中的重要详细信息并入答案本身,以使即使这些页面更改或将来不再可用,此答案也仍然有效。
–用户
17年5月13日在18:03
@tbodt并非总是可能的(尤其是在公司环境中)
– schroeder♦
17年5月14日晚上8:13
#5 楼
同样重要的是要知道,Wannacry有新变种(称为Wannacry v2),据信并非来自同一作者。该恶意软件如何危害系统:
首先,它创建并设置以下注册表项:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \“ Microsoft Updates Task Scheduler” =“” [PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME]“ / r“
HKEY_LOCAL_MACHINE \ SOFTWARE \ WannaCryptor \” wd“ =” [PATH_TO_RANSOMEWARE]“
HKEY_CURRENT_USER \ Control Panel \ Desktop \” Wallpaper“ =”%UserProfile%\ Desktop!WannaCryptor!.bmp“
WannaCry然后创建以下互斥锁:
Global \ WINDOWS_TASKOSHT_MUTEX0
LGlobal \ WINDOWS_TASKCST_MUTEX
此后,它终止使用
taskkill /f /im
进行以下过程:MSExchange *
WannaCry开始搜索,加密并将
.WCRY
附加到t以下文件格式的文件名结尾:.123
.3dm
.3ds
.3g2
。 3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
。 csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
。 hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip
为预防起见,Nik为您提供了所有您需要了解的信息,但是我要补充一点,您应该尝试阻止端口445 / TCP上的入站连接。确保不要阻止以下污水坑域,因为这是Wannacry v1二进制文件中的kill开关:
hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
希望它会有所帮助。
#6 楼
NHS注定要成为第一个热门歌曲这里有很多不错的答案,但是鉴于最近发生的事件,这个答案很有启发性。 2017年1月18日,美国证书敦促管理员对SMBv1进行防火墙防护,但对此故事的评论说,Windows XP支持仍然存在的唯一原因是因为NHS(英国国家卫生服务于5月12日星期五关闭)支付了M $现金以保持其生命力。
一个链接,所有关闭均支持Windows易受攻击的版本
如果您拥有像我这样的旧Windows Vista备份笔记本电脑,您可能会对KB4012598感兴趣适用于Windows 8,XP,Vista,Server 2008和Server 2003,它们等效于MS17-010。这些是EOL(寿命终止)Windows版本的手动补丁,不支持和自动更新。微软在过去的48小时内采取了非凡的步骤来发布这些补丁。指出在我发布的有关此问题的Ask Ubuntu中讨论的漏洞。 SMBv3。文章的一部分指出,联邦调查局说,您不应该向罪犯付款以获取数据,但老实说,我将支付300美元以使自己的生命归还。
br />根据今天的一篇文章,影子经纪人迄今已取得31项大奖。有趣的事实是,这个名字首次出现(AFAIK)是一个虚构的团体,在大约10年前在埃德蒙顿发明的科幻视频游戏中处理秘密事务。第二个有趣的事实是,他们收取300美元来解锁您赎回的数据,而我过去曾收取300美元来进行GL,AR,IC,PR等数据修复。这表示我非常怀疑Shadow Brokers是否来自我所居住的埃德蒙顿。 />
第二个版本退出,并且kill开关不起作用
据报道,该网站http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/的创建是勒索软件的致命一击,但新版本的“ Wanna Cry”却步步为营。我没有读过很多文章来确认这一点,但是无论如何,应该插入SMBv1和SMBv2孔。人们不应该依赖于带有将来的“ Wanna Cry”版本的杀伤开关或利用漏洞的任何新的恶意软件/勒索软件。它是:
sinkhole.tech-机器人在这里辛苦工作,而研究人员在这里辛苦工作...
Microsoft阴谋论
不相信阴谋的人可以按“后退”按钮。根据这篇文章,NSA和Microsoft知道这是即将到来的,它散发了一份请愿书,要求了解Microsoft知道什么,何时何地以及如何做。这些指控是基于影子经纪人的时间,NSA被黑客入侵和MS安全更新而定的。
评论
NHS不仅仅是他自己保持XP支持存活的公司,其他大公司也为此付出了数百万美元的费用……IMO这是一个糟糕的主意,他们应该投资于更新系统!
– 0x1gene
17年5月18日在10:19
#7 楼
这似乎既是一种标准的网络钓鱼/勒索软件攻击,但一旦进入目标网络,它也会像蠕虫一样传播。不要通过SMB。一旦受保护的网络上的第一台计算机被感染,该蠕虫就会使用上面提到的SMB漏洞传播该攻击。 (截至两天前)仍没有有关初始威胁的信息: ,但我们认为有两种情况是该勒索软件传播的高度可能的解释:
通过旨在诱骗用户运行恶意软件和使用
SMB漏洞激活蠕虫传播功能,当可从其他受感染的计算机访问未修补的计算机
时,通过SMB漏洞通过感染进行感染
(https://blogs.technet.microsoft.com/mmpc / 2017/05/12 / wannacrypt-ransomware-worm-targets-out-of-date-systems /)
[编辑]
刚发现《福布斯》没有认为网络钓鱼是这种攻击的主要组成部分。参见https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#37038021e599:
“ ...网络钓鱼电子邮件不是主要的感染方法,因为很少有人共享带有恶意软件的电子邮件。思科的Talos部门不相信使用了任何网络钓鱼电子邮件...”
这样将使不受保护的服务器将SMB端口作为主要感染媒介暴露在开放的Internet上。这也许可以解释一些据报道的知名目标,这些目标具有广泛分布的网络(FedEx,NHS等)。只需一台未暴露的计算机也连接到更广泛的网络即可引导感染。
评论
似乎更像是评论而不是答案
– schroeder♦
17年5月15日在15:17
这个问题也是一个断言,因此我认为可以通过驳斥网络钓鱼声明的确定性和唯一的SMBv1载体的有效性来回答这个问题。
– mgjk
17年5月15日在17:17
我们的私人InfoSec提要正在报告某些网络钓鱼攻击的详细信息。我找不到任何公共信息,但确实确实存在网络钓鱼媒介。检查您的供应商。
– mgjk
17年5月15日在17:52
我做了很多研究,但没有发现与幻想相关的任何电子邮件。如果我错了就打我,但对我来说,这种感染媒介的搜索已经结束。那时什么也没有:“我听说有人告诉过他,他收到了这样的邮件”。实际上,我已经注册了stackexchange,因为Askubuntu上有一些用户声称拥有想要的网络钓鱼邮件。经过两天的交流,我可以肯定地说:他们没有。没有其他人。在这里也可以查看:nudesecurity.sophos.com/2017/05/17/…
–user689443
17年5月20日在10:14
#8 楼
除了前面提到的仅回答Windows的答案之外,还有一个重复的问题“ WannaCry会感染Linux吗?”。指向这一点,我想补充一点,如果Linux机器正在运行Wine,也可能被感染:https://twitter.com/hackerfantastic/status/863359375787925505评论
真正的问题是,为什么这样做有效?
–simbabque
17年5月20日在8:00
#9 楼
尽管安装供应商补丁始终是一个好主意,但也值得注意的是,该恶意软件会在激活时进行DNS检查。我看到了一个报告的域:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
但是可能还有更多。因此,应该有可能使用这样的东西(在Linux / Unix机器上)监视网络中是否有新感染,该东西会测试很长的字符串作为DNS查询中的域组件: br />
(未测试:YMMV)
评论
由于DNS检查是第一个失败的原因,因此后续的菌株似乎就不会这样做。
–轨道轻赛
17年5月15日在12:09
看上去与Chrome启动时的操作非常相似。此处的区别在于Chrome请求是针对不合格的主机名,而不是.com名称。
– Toby Speight
17年5月18日在9:23
这些人对这种方法有更好的了解:youtube.com/watch?v=ZNas6BmbRvo
–symcbean
17年6月13日在19:19
#10 楼
我将简要地回答“如何保护”部分0。迅速采取行动
该恶意软件仍在传播。如果您的系统不受保护,则其剩余寿命以小时为单位
1。确保执行必需的系统更新
Microsoft已经发布了所有正在维护的Windows版本的修补程序。也许Windows ME尚未打补丁,否则转到#4
2。备份
通过实施有效的备份策略,您可以通过任何勒索软件保护您的基础架构,或者至少限制其破坏。在这种情况下,备份到易受攻击的计算机毫无意义。同步到云可能很危险
3。从外部进行防火墙保护
如果您是家庭用户或大型企业,都应始终遵循防火墙的经验法则:禁用除您实际运行的服务之外的所有内容。仅打开端口80/443。在家运行Torrent?使用upnp或选择要在调制解调器上打开的端口。
请勿使用DMZ。如果您确实需要SMB,则必须仔细考虑。讨论ServerFault可能很好。
4。气隙或具有防火墙功能的旧机器
如果您拥有对业务至关重要且无法在短时间内升级的旧系统,请考虑一下。虚拟化旧版Windows是没有用的,因为恶意软件可以在您过时的计算机网络中传播。如果您无法防火墙和/或完全禁用SMB,则最后一个选择是拔掉网络电缆,直到找到更好的解决方案
评论
阅读链接的文章后,还有什么不清楚的地方吗?毕竟它说使用了ETERNALBLUE并且MS17-010解决了问题(当然还有备份)...更好地解释谁有风险,如何保护自己以及恶意软件的运行方式如何。
@Melkor并非如此; NHS对待人类,而不是计算机系统。安全博士学位并不意味着您可以对人类进行操作,反之亦然。
我可以要求跟进吗?此错误是特定于Microsoft的,还是该规范本身的一部分?如果我正在运行其他内容(例如* nix服务器上的Samba),这会影响我吗?
@ wizzwizz4:更正:NHS中的医生(在某种程度上是护士)对待人类。会计师看书。门卫人员处理地板和地面。据称,IT员工对待计算机系统。 NHS并非仅由医生和护士组成的组织。